セキュリティ人材

IPA（情報処理推進機構）ではセキュリティに関わる人材と対応スキルをどのように定義しているのだろうか？
IPAのWebサイトからは、「情報セキュリティ強化対応スキル指標」という資料を取得することができる。この資料の中に情報セキュリティ関連の職種とその専門分野が例示されている。以下が職種と専門分野の定義である。

1　ITスペシャリスト　：　セキュリティ
2　コンサルタント　：　情報リスクマネジメント
3　ITアーキテクト　：　セキュリティアーキテクチャ
4　セキュリティアドミニストレータ　：　情報セキュリティアドミニストレータ
5　セキュリティアドミニストレータ　：　ISセキュリティアドミニストレータ
6　セキュリティアドミニストレータ　：　インシデントハンドラ
7　セキュリティマネージャ　：　組込みセキュリティ
8　情報セキュリティマネジメント

実際のところ、セキュリティアドミニストレータという言葉はあまり聞かないし、専門分野の定義も少し漠然としている。
より詳細を知るためには、「職種xスキル対応表」というシートを見る必要がある。このシートには、職種とその職種に要求されるスキルの対応が定義されている。
例えば「情報セキュリティマネジメント」に要求されるスキルの幾つかを拾ってみると、セキュリティの基礎技術、セキュリティの構築技術、セキュリティの利用技術として、

・情報セキュリティ
・情報保証と情報セキュリティ
・情報倫理とセキュリティ
・アプリケーションセキュリティ
・情報プラットフォームのセキュリティ技術
・暗号技術
・保証、信用、信頼のメカニズム
・セキュリティ方針の策定
・セキュリティ対策基準の策定
・セキュリティ関連法規
・・・などが列挙されている。
さらにセキュリティ以外の分野についても、

・プロジェクト資源マネジメント
・システム運用管理手法
・運用支援ツール手法
・リスク管理手法
・リスク分析手法
・・・などのスキル項目が定義されている。
随分と沢山のスキル項目が列挙されていることに驚く。また、なかには「保証、信用、信頼のメカニズム」など今ひとつイメージが湧かないものもある。
もう少し具体的な説明を知りたい向きには「ITのスキル指標を活用した情報セキュリティ人材育成ガイド」という冊子の方が分かり易い。

セキュリティがこれだけ注目されるのは、最近大きなセキュリティ事故が起きているからだろう。
ベネッセホールディングスの顧客情報流出事故（2260万件）、日本年金機構の年金情報流出事故（約125万件）などである。
企業にとって悩ましいのは、セキュリティ対策自体は収益を産む投資ではなく、事故を防止するためのコストである点であろう。しかし、情報が流出した場合の対応費用を考えると、対策を打たざるを得ない企業は多いだろう。
セキュリティ対策やリスク対策はやり始めたらきりがないから、費用対効果を考えて実施策を検討する必要がある。

セキュリティ人材の不足に対して、ITツールで補完することは可能だろうか？
セキュリティインシデントの予兆の検出や、インシデント発生後の調査、対応方針の策定にはAI（人工知能）の技術が利用できると考えられる。実際にそのような製品があるのか否かは、勉強不足で良く知らないが、Webで検索してみると、マルウェアの振る舞いの分析、ログ情報の分析などに機械学習を活用する動きがあるようだ（もしかしたら既に製品化されているものがあるのかもしれない）。
また、IIJ（インターネットイニシアティブ）は、サイバー攻撃の自動解析、判断、学習などを行い、その有用性の検証を2015年8月より開始すると言っている。AIに過大な期待は出来ないが、機械学習を利用することでセキュリティ人材の不足をカバーする、あるいはセキュリティ対策に関わる労力を軽減することは十分可能だと考えられる。

話は少し逸れるが、2年ほど前にデータサイエンティスト（ITと統計の知識を持ちデータ分析を行えるSE)が不足していると騒がれたことがある。当時の日経ビジネスの記事を探すと、米調査会社のガートナーは、「日本で近い将来、データサイエンティストが25万人不足するだろうと」と予測している。
奇しくもセキュリティ人材の不足人数とほぼ同じ数字である。セキュリティ人材とデータサイエンティスト人材を合わせると、合計で50万人近くのSEが不足することになる。
さすがにこうなると、「本当なのだろうか・・・」と疑いたくなってくるのだが・・・。